L’intelligenza artificiale (IA) DeepSeek, lanciata da sole due settimane, ha già conquistato il mondo per le sue capacità di ragionamento avanzate, e la sua APP omonima per smartphone ha raggiunto la vetta della classifica delle APP gratuite più scaricate sull’App Store di Apple.
Tuttavia, un’indagine della società di sicurezza informatica NowSecure rivela gravi vulnerabilità che mettono a rischio i dati e l’identità degli utenti.
Dati sensibili a rischio intercettazione
L’app DeepSeek trasmette dati sensibili attraverso canali non crittografati, esponendoli a intercettazioni e manipolazioni. NowSecure ha scoperto che la protezione App Transport Security (ATS), fondamentale per la sicurezza dei dati, è completamente disabilitata.
Le informazioni trasmesse in chiaro includono dettagli cruciali come la versione del sistema operativo, la versione dell’SDK, la lingua impostata e l’ID dell’organizzazione.
The Gravy leak & now DeepSeek #AI risks are great examples of the risks hidden in mobile apps. Don’t learn from the news that your apps (the ones you build and your people use) are leaking sensitive information. Test, don’t guess!#AppSec #RiskManagement https://t.co/UYRm6ZSNkk pic.twitter.com/8a9PQOmmMA
— NowSecure (@NowSecureMobile) February 6, 2025
ByteDance e la condivisione dei dati
Ancora più preoccupante è il fatto che questi dati vengano inviati a server controllati da ByteDance, la società cinese proprietaria di TikTok. Ciò solleva seri dubbi sulla possibilità che queste informazioni vengano incrociate con altri dati per tracciare gli utenti.
Crittografia obsoleta e rischi per la privacy
DeepSeek utilizza una crittografia 3DES (Triple DES) obsoleta e insicura dal 2016. Le chiavi per questa crittografia sono “hardcoded” nell’app e identiche per tutti gli utenti iOS, una pratica estremamente rischiosa.
La politica sulla privacy di DeepSeek dichiara apertamente che i dati raccolti vengono archiviati in Cina e potrebbero essere condivisi con autorità governative o terze parti.
Vulnerabilità del modello R1
Ma i problemi non si limitano alla sicurezza dell’app. Un’indagine congiunta di Cisco e dell’Università della Pennsylvania ha dimostrato che il modello R1 di ragionamento simulato di DeepSeek fallisce nel 100% dei casi contro prompt malevoli progettati per generare contenuti tossici.
Jailbreak e rischi
Come se non bastasse, la società di sicurezza Qualys ha scoperto un elevato tasso di successo nei test di jailbreak contro il modello DeepSeek, aprendo la strada a un uso sconsiderato e pericoloso.
Gli esperti di sicurezza informatica concordano nel ritenere DeepSeek (sia il modello che le app) rischioso sotto diversi aspetti: le app non proteggono adeguatamente i dati degli utenti e il modello è fin troppo vulnerabile ad abusi.
